Bilişim Güvenliğinde Yaşam Döngüsü ve Derinlik Attila Özgit / Burak Dayıoğlu {ozgit,dayioglu}@metu.edu.tr

Bilişim Güvenliği Modeli Gizlilik Bütünlük Erişilebilirlik İşleme Depolama İletim Politikalar ve Yönergeler Teknoloji Uygulamaları Eğitim ve Bilinçlendirme

Modern Ağların Karmaşıklığı

Zafiyet Alanları Yazılım ve Donanım Çevre Çalışanlar Zaman

Zafiyetten Saldırıya ... Sıradan Saldırganların Araçları Kullanımı Otomatikleştirilmiş Araçların Geliştirilmesi ve Dağıtılması Deneyimli Saldırganların Yeni Zafiyet Keşfetmesi Otomatikleştirilmiş Araçların Yaygın Kullanımı Saldırı Araçlarının Dağıtımı Deneyimli Saldırganların Zafiyet Keşfetmesi

Teknoloji İmkanları Kriptografi uygulamaları Ağ bölümlendirmesi ve güvenlik duvarları Ağ trafik analizi ve ağ tabanlı saldırı tespit sistemleri İçerik filtreleri Sunucu tabanlı saldırı tespit sistemleri Tuzak sistemler (ing. honeypots) Bütünlük denetleyicileri Zafiyet tarayıcıları Anti-virüsler Yedekler Güvenli ayarlar ve yamalar (sunucular, ağ cihazları vb.) Erişim denetimi (parolalar vb.) Günlük kayıtları (ing. logs)

CERT/CC Güvenlik Yaşam Döngüsü

Koruma ve Sağlamlaştırma - I Amaç: Bilindik saldırılara ve problemlere karşı önlemlerin alınması Ağ aktif cihazlarının ve bilgisayar sistemlerinin yazılım güncellemelerinin gerçekleştirilmesi Ön-tanımlı parolaların ve diğer anahtar sözcüklerin (SNMP topluluk isimleri vb.) değiştirilmesi

Koruma ve Sağlamlaştırma - II Minimalist yaklaşım; açıkça gerekli olmayan her şey durdurulmalı ya da iptal edilmelidir Çalışması şart olmayan sunucu yazılımlarının durdurulması Gereksiz yazılımların kurulmaması Kullanıcılara ve yazılımlara yalnızca işlerinin gerektirdiği kadar yetki verilmesi

Koruma ve Sağlamlaştırma - III Kullanıcı tanımlama düzeneğinin daha güvenli hale getirilmesi Akıllı kart, hardware-token ya da biyometrik denetimlerin kullanımının tercih edilmesi Bunlar kullanılamıyor ise S/Key gibi tek kullanımlık parola düzeneklerinin kullanılması Vazgeçilemeyen parola düzenekleri için parolaların düzenli denetlenmesi ve zayıf parolaların atanmasının engellenmesi

Koruma ve Sağlamlaştırma - IV Yedekleme ve geri yükleme düzeneğinin kurulması, düzenli olarak denetlenmesi Anti-virüs yazılımlarının kullanılması ve düzenli güncellemelerinin gerçekleştirilmesi Çok katmanlı (E-posta sunucusu, PC’ler, ...) Sunucu yazılımları için üreticiler tarafından tavsiye edilen güvenlik ayarlarının yapılması Güvenlik düzeylerine göre ağ bölümlendirmesi VLAN’ler, güvenlik duvarları Bu adımda alınan önlemlerin bilindik saldırıları engellemek için yeterli olup olmadığını denetlemek için zafiyet tarama yazılımlarının kullanılması

Hazırlık - I Amaç: Bir önceki adımda oluşturulan “güvenli” zeminin bilinmeyen saldırılara karşı korunması için hazırlık yapılması “Bilinmeyen” saldırılara karşı hazırlık yapılması Saldırıların tespit edilmesi ve müdahalenin gerçekleştirilmesi için gerekli alt-yapının hazırlanması

Hazırlık - II Ağ aktif cihazı ve sistem kayıtlarının toplanması İşletim sistemlerinin olabildiğince çok kayıt (ing. log) üretmesinin sağlanması Ağ aktif cihazlarının kayıt düzeneklerinin aktif hale getirilmesi Tüm kayıtların ağ üzerinde merkezi bir sunucuda toplanması Merkezi kayıtların güvenliğinin sağlanması Kayıt tutan tüm bilgisayar sistemlerinin zaman senkronizasyonunun sağlanması (NTP vb. ile)

Hazırlık - III Kayıtları tutulabilecek diğer uygulamaların belirlenmesi ve kayıtlarının merkezileştirilmesi Veritabanı sunucuları E-posta sunucuları DNS sunucuları Web sunucuları Uygulama sunucuları ... Merkezileştirilemeyen kayıtların belirlenmesi ve bunlar için izlenecek yöntemin tespiti

Hazırlık - IV Saldırı Tespit Sistemlerinin Kurulması Ağ temelli / Sunucu temelli saldırı tespit sistemleri kurulması ve “normal olmayan” durumlar ile bilindik saldırıların tespit edilmesinin sağlanması Bu sistemlerin kayıtlarının da merkezi kayıt düzeneği ile birleştirilmesi

Hazırlık - V Dosya Bütünlük Denetleyici Sistemlerinin Kurulması Görev-kritik sunucular üzerindeki hassas dosyalarda sıradışı “değişikliklerin” tespit edilmesi Sistem ayarlarının değişmesi Sistem günlük kayıtlarının (ing. logs) dosya büyüklüklerinin azalması Sistem programlarının değişmesi Dosya/program sahipliğinin ve erişim denetim yetkilerinin değişmesi Dosya bütünlüğü problemleri İşletim hatalarından Yanlış ayarlardan Saldırganların sistem üzerindeki hamlelerinden kaynaklanabilir

Hazırlık - VI Tuzak Sistemlerin Kurulması Diğer yöntemlerle saptanamamış saldırganları cezbetmek, yanıltmak, onları oyalamak ve tespit edilmelerini kolaylaştırmak için “honeypot” (Tuzak) sistemlerinin kurulması

Tespit Amaç: Anormal durumların tespit edilmesi, hangilerinin detaylı inceleme ve müdahale gerektirdiğinin belirlenmesi Tutulan kayıtların düzenli olarak incelenmesi Şüpheli kayıtların belirlenmesi Kayıtlarda saldırı izi olabilecek girdilerin aranması Kayıtlar arası tutarsızlıkların aranması Kayıtlarda zaman-atlamalarının aranması Saldırı tespit sistemi ve diğer sistemlerin ürettiği alarmlarının incelenmesi

Müdahale - I Amaç: Şüpheli durumların etraflıca incelenmesi, müdahale edilmesi ve çözümlenmesi Kayıtlar arasında ilişkilerin aranması Saldırı olduğundan emin olduktan sonra ilgili birim ve kuruluşlar ile bilgi paylaşımı Kurum yönetimi Anlaşmalı/ilgili acil durum müdahale ekibi Saldırının kaynağı olan ağı işleten kuruluş Savcılık Basın ...

Müdahale - II Saldırının nasıl gerçekleştiğinin çözümlenmesi Saldırganlar aynı saldırıyı tekrar gerçekleştirebilir Saldırıya ilişkin kayıtların topluca yedeklenmesi

İyileştirme - I Amaç: Diğer adımlarda edinilen bilgi ve deneyimlerin ışığında güvenliğin arttırılması, süreçlerin iyileştirilmesi Yazılım ve yapılandırma güncellemelerinin yapılması, yamaların uygulanması Zayıflıkların düzenli olarak izlenmesi BUGTRAQ, FULL-DISCLOSURE ve INCIDENTS gibi tarafsız listelerin takibi Üretici duyuru listelerinin takibi

İyileştirme - II Veri/Kayıt toplama düzeneklerinin iyileştirilmesi, revize edilmesi Zafiyet tarama yazılımlarının düzenli çalıştırılması, tespit edilen zafiyetlerin giderilmesi Bağımsız kuruluşlara Zafiyet Analizi, Sızma Testleri ve Güvenlik Denetimlerinin yaptırılması Güvenlik politikasının ve yönergelerinin revize edilmesi

Ayrıştır, Yalıt and Sadeleştir! Ağlar, sistemler, servisler ve veriler rol, amaç ve güvenlik duyarlılığı bağlamında ayrıştırılmalı ve yalıtılmalıdır. Bilişim güvenliği politikalarındaki farklılıklara göre ayrıştırılmış altyapı ve yönetim bölümleri oluşturulmalıdır. Örn.: Sunucular vs. kullanıcı bilgisayarları Sunucular üzerindeki ağ servisleri İş ve dış erişim Gizli vs. açık veri Bölümler arası bilişim güvenliği politikaları farklılıkları zorlanmalıdır.

Bilişim Güvenliği’nin Boyutları Teknolojik Teknoloji Teknoloji Yönetimi Denetim Örgütsel / İdari Politikalar Yönergeler Eğitim Bilinçlendirme Yasal

Değerlendirme ve Sonuç Güvenliğin sağlanması için planlı bir çalışma ve savunma derinliğinin sağlanması zorunludur. Güvenlik yaşam döngüsünün her adımının titizlikle uygulanması ile saldırıların büyük bir bölümü bertaraf edilebilir ve/veya erken önlenebilir. Güvenlik tek kerelik bir çalışma değil bir süreçtir. Bilişim Güvenliği, “sınır güvenliği” değildir. Kutu satın alarak güvenlik sağlanamaz.

Bilişim Güvenliğinde Yaşam Döngüsü ve Derinlik Attila Özgit / Burak Dayıoğlu {ozgit,dayioglu}@metu.edu.tr